Vulnerabilidad en Web-Check (CVE-2025-32778)
Gravedad CVSS v4.0:
CRÍTICA
Tipo:
CWE-78
Neutralización incorrecta de elementos especiales usados en un comando de sistema operativo (Inyección de comando de sistema operativo)
Fecha de publicación:
15/04/2025
Última modificación:
16/04/2025
Descripción
Web-Check es una herramienta OSINT integral para analizar cualquier sitio web. Existe una vulnerabilidad de inyección de comandos en la API de captura de pantalla del proyecto Web Check (Lissy93/web-check). El problema se debe a que la entrada controlada por el usuario (URL) se pasa sin sanear a un comando de shell mediante exec(), lo que permite a los atacantes ejecutar comandos arbitrarios del sistema en el host subyacente. Esto podría explotarse enviando parámetros de URL manipulados para extraer archivos o incluso establecer acceso remoto. La vulnerabilidad se ha corregido reemplazando exec() por execFile(), que evita el uso de un shell y aísla correctamente los argumentos.
Impacto
Puntuación base 4.0
9.30
Gravedad 4.0
CRÍTICA